← Article précédent
Télécharger en PDF
Article suivant →

L’usage d’un chatbot RH non conforme au RGPD peut-il constituer une infraction ?

Réponse courte

L’usage d’un chatbot RH non conforme au RGPD et au Code du travail luxembourgeois constitue une infraction. Le non-respect des obligations légales en matière de protection des données personnelles expose l’employeur à des sanctions administratives et pénales prévues par la législation luxembourgeoise, notamment le Code du travail (article L.261-1), la loi modifiée du 1er août 2018 et le RGPD.

Les sanctions incluent des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, ainsi que des sanctions pénales. La responsabilité administrative et pénale de l’employeur peut être engagée. La CNPD peut ordonner la cessation du traitement illicite et dispose de pouvoirs d’enquête et de sanction.

Définition

Un chatbot RH est un outil automatisé permettant d’interagir avec les salariés ou candidats dans le cadre de la gestion des ressources humaines, notamment pour répondre à des questions, collecter des données ou traiter des demandes administratives. Lorsqu’il traite des données à caractère personnel, il est soumis aux obligations du RGPD, du Code du travail luxembourgeois (article L.261-1) et de la loi modifiée du 1er août 2018 portant organisation de la Commission nationale pour la protection des données (CNPD).

L’employeur a l’interdiction légale de collecter ou de traiter certaines catégories de données sensibles (par exemple, données relatives à la santé, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale), sauf exceptions strictement prévues par la loi (article L.261-1(3) du Code du travail). Toute exception doit être justifiée par une base légale spécifique.

Conditions d’exercice

L’utilisation d’un chatbot RH impose au responsable du traitement (employeur ou son représentant) de respecter les principes de licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité, conformément à l’article L.261-1(1) du Code du travail et au RGPD.

L’employeur doit garantir que les données collectées soient adéquates, pertinentes et non excessives au regard de la finalité poursuivie. Toute collecte ou traitement de données personnelles via un chatbot doit reposer sur une base légale valable (exécution du contrat de travail, obligation légale, consentement, intérêt légitime). Le non-respect de ces principes expose l’employeur à des sanctions administratives et pénales.

La tenue d’un registre des activités de traitement est obligatoire uniquement pour les entreprises de 250 salariés ou plus, ou si le traitement n’est pas occasionnel, porte sur des catégories particulières de données ou est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées (article 30 RGPD).

Modalités pratiques

Avant la mise en service d’un chatbot RH, l’employeur doit réaliser une analyse d’impact relative à la protection des données (AIPD) si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

L’information sur le traitement des données doit être remise individuellement à chaque salarié ou candidat concerné, de manière claire et accessible, lors de la collecte des données personnelles. Cette information doit porter sur :

  • L’identité et les coordonnées du responsable du traitement.
  • La finalité du traitement.
  • La base légale du traitement.
  • Les catégories de données collectées.
  • Les destinataires ou catégories de destinataires des données.
  • La durée de conservation des données.
  • L’existence des droits d’accès, de rectification, d’opposition, d’effacement, de limitation et de portabilité.
  • Le droit d’introduire une réclamation auprès de la CNPD.
  • Le caractère obligatoire ou facultatif des réponses et les conséquences d’un défaut de réponse.

L’employeur doit consulter préalablement la délégation du personnel, si elle existe dans l’entreprise, avant toute décision définitive d’introduction ou de modification d’un système automatisé de collecte ou de traitement de données à caractère personnel (article L.261-1(2) du Code du travail).

Depuis l’entrée en application du RGPD, la déclaration préalable à la CNPD n’est plus une obligation générale. Elle ne subsiste que pour certains traitements spécifiques prévus par la loi modifiée du 1er août 2018, notamment ceux relevant de l’article 9 de cette loi. L’employeur doit vérifier si le traitement envisagé entre dans le champ de cette obligation particulière.

Des mesures techniques et organisationnelles appropriées doivent être mises en place pour garantir la sécurité des données, conformément à l’article L.261-1(1) du Code du travail. En cas de sous-traitance, un contrat conforme à l’article 28 du RGPD doit être conclu avec le prestataire du chatbot.

Pratiques et recommandations

L’employeur doit s’abstenir de collecter ou de traiter des données sensibles, sauf exceptions légales expressément prévues par l’article L.261-1(3) du Code du travail. Toute exception doit être documentée et justifiée.

Toute violation de données à caractère personnel doit être notifiée à la CNPD dans les 72 heures, et, le cas échéant, aux personnes concernées, conformément au RGPD.

La tenue d’un registre des activités de traitement est obligatoire dans les cas prévus par l’article 30 du RGPD. Ce registre doit recenser l’ensemble des traitements opérés par le chatbot RH et être mis à jour régulièrement lorsque l’obligation s’applique.

Cadre juridique

L’infraction à la réglementation sur la protection des données par l’usage d’un chatbot RH non conforme est prévue et sanctionnée par :

  • Le Code du travail luxembourgeois, notamment l’article L.261-1 (obligations d’information individuelle, consultation préalable, limitation, interdiction de collecte de données sensibles).
  • La loi modifiée du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel (déclaration préalable à la CNPD pour certains traitements spécifiques).
  • Les articles 30 et 83 et suivants du RGPD (registre des activités de traitement, sanctions administratives).

Les sanctions incluent des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, ainsi que des sanctions pénales prévues par la législation nationale. La CNPD dispose de pouvoirs d’enquête, de contrôle et de sanction, et peut ordonner la cessation du traitement illicite.

Note

L’utilisation d’un chatbot RH non conforme au RGPD et au Code du travail constitue une infraction susceptible d’engager la responsabilité administrative et pénale de l’employeur. Il est impératif de procéder à une évaluation rigoureuse de la conformité avant toute mise en œuvre, d’informer individuellement chaque personne concernée, de consulter préalablement la délégation du personnel si nécessaire, et de consulter, le cas échéant, le délégué à la protection des données ou la CNPD.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 31.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...